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Kleine Anfrage 

des Abgeordneten Dr. Manuel Kiper und der Fraktion BÜNDNIS 90/DIE GRÜNEN 


Sicherheit der Informationstechnik und Kryptierung 


Die Bedeutung der Sicherheit der Informationstechnik (IT- 
Sicherheit) wird häufig betont. Die Praxis zeigt jedoch, daß Pro- 
bleme von großer Wichtigkeit nicht angegangen und grundsätz- 
liche Fragen nicht gestellt werden. In besonderem Maße tritt dies 
bei solchen technischen Teilbereichen zutage, die wie die Kryp- 
tographie nicht allein der Herstellung von IT-Sicherheit dienen 
können, sondern den Interessen staatlicher Sicherheit unterge- 
ordnet werden. 

Die Bundesregierung bereitet derzeit die Einführung einer elek- 
tronischen Unterschrift vor. Elektronische Daten werden dabei 
durch eine Verschlüsselung „versiegelt". Gleichzeitig wird auf 
diese Weise die Nutzung von kryptographischen Verfahren in 
großem Umfang begonnen. Pläne seitens der EU-Kommission zu 
ähnlichen Verfahren sind bekanntgeworden, die US-Regierung 
hat ihrerseits erste Überlegungen einer Neuausrichtung ihrer 
Kryptographie-Politik bekanntgegeben. Die Antwort der Bun- 
desregierung auf eine Anfrage zur Kryptographie (Drucksache 
13/1889) ist damit nicht länger aktuell. 

Der bislang nicht gewährleistete Schutz persönlicher Daten, die 
auf elektronischem Weg verschickt werden, kann mit den Kryp- 
tierungsinitiativen vorangetrieben werden. Damit wird gleich- 
zeitig die Frage nach einer internationalen Abstimmung not- 
wendig, wenn Nutzung wie Handel mit Kryptiersystemen keinen 
künstlich errichteten Barrieren ausgesetzt werden sollen. 

IT-Sicherheit besteht jedoch aus weit mehr als nur Kryptierung. 
Da nach der Antwort der Bundesregierung auf eine Kleine An- 
frage zum Bundesamt für Sicherheit in der Informationstechnik 
(BSI) (Drucksache 13/3408) noch viele Fragen offengeblieben 
sind, ist es notwendig, verschiedene Bereiche der IT-Sicherheit 
erneut zu thematisieren. 
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Wir fragen die Bundesregierung: 

1. Gibt es offizielle Kontakte zwischen Mitarbeitern des Bun- 
desamtes für Sicherheit in der Informationstechnik (BSI) und 
Mitarbeitern der National Security Agency (NSA)? 

Wenn ja, in welchen Gremien, zu welchem Zweck, wann und 
aus welchem Anlaß fand die letzte Begegnung statt? 

2. Welche offiziellen Kontakte gab es zwischen der NSA und 
Mitarbeitern der ehemaligen Zentralstelle für das Chiffrier- 
wesen (ZfCh), und in welchem Umfang werden diese heute 
vom BSI weitergepflegt? 

3. Mit welchen Unternehmen hat die ZfCh bei der Entwicklung 
von Verschlüsselungstechhik zusammengearbeitet bzw., mit 
welchen arbeitet das BSI heute zusammen? 

4. Gab bzw. gibt es dabei eine Zusammenarbeit mit Firmen 
der Nachrichtentechnik sowie Herstellern von Geräten und 
Systemen zur Elektronischen Kampfführung (EloKa)? 

Wenn ja, mit welchen und zu welchem Zweck? 

5. Trifft es zu, daß für das BSI ein neuer leistungsfähiger Groß- 
rechner beschafft werden soll? 

Wenn ja, für welche Zwecke wird dieser Rechner benötigt? 

6. In welchem Umfang unterliegt der Export von Verschlüsse- 
lungssystemen in der Bundesrepublik Deutschland Export- 
beschränkungen, und in welchem Umfang ist das BSI an der 
Erteilung von Exportlizenzen fachlich beteiligt bzw. war die 
vormalige ZfCh daran beteiligt? 

7. Beabsichtigt die Bundesregierung regulative Änderungen 
bei der Vergabe von Exportlizenzen? 

8. Ist der Bundesregierung eine Einflußnahme von für Kryptie- 
rungsfragen zuständigen Behörden auf die Entwicklung von 
Kryptiersystemen bekannt? 

9. Ist der Bundesregierung eine Einflußnahme von für Kryptie- 
rungsfragen zuständigen Behörden auf die Exportfähigkeit 
von Kryptiersystemen bekannt? 

10. Ist der Bundesregierung die Ansicht von Kryptier experten 
bekannt, bestimmte Verschlüsselungsstandards und -Systeme 
seien durch Einflußnahme von für Kryptierungsfragen zu- 
ständigen Behörden, insbesondere der NSA, aufgeweicht 
worden, und welche Konsequenzen zieht sie hieraus? 

11. Ist der Bundesregierung bekannt, aus welchem Grund die 
International Standards Organization (ISO) ihren Gliederun- 
gen - Technical Committees - die Normung von Kryptieralgo- 
rithmen verboten hat? 

Wenn ja, welche Position hat die Bundesregierung dabei ver- 
treten? 

12. Welche Folgerungen zieht die Bundesregierung aus Berich- 
ten (Computer Zeitung vom 25. Januar 1996), daß der Soft- 
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Warehersteller Lotus zur Erlangung einer Exportlizenz in den 
USA für die neue Version 4.0 seines Produktes Lotus Notes 24 
der 64 Bits des Kryptierschlüssels US-Behörden bekanntge- 
ben mußte? 

13. Ist diese Software bei Bundesbehörden im Einsatz? 

Wenn ja, bei welchen? 

14. Hat die Bundesregierung bei der Beratung der Erfordernisse 
einer gesetzlichen Regelung kryptographischer Verfahren 
seit Mitte 1995 Fortschritte gemacht? 

Wenn ja, welche? 

15. Beabsichtigt die Bundesregierung, bei den angekündigten 
gesetzlichen Regelungen einer elektronischen Unterschrift, 
die funktional einem Verschlüsselungssystem gleichkommt, 
die Systeme einer Lizensierung zu unterwerfen? 

Wenn ja, nach welchen Kriterien soll die Lizensierung ge- 
schehen, vor allem auch im Hinblick auf die Sicherheit der 
Systeme? 

16. Welches Modell einer Schlüsselverwaltung strebt die Bun- 
desregierung dabei an? 

17. Beabsichtigt die Bundesregierung bei den genannten Syste- 
men eine Beschränkung der Schlüssellänge? 

18. Hält es die Bundesregierung für notwendig, die Nutzung von 
bestimmten Kryptosystemen einzuschränken bzw. zu verbie- 
ten? 

19. Wie realistisch ist nach Ansicht der Bundesregierung die An- 
nahme, eine Beschränkung von Kryptiersystemen auf einige 
zugelassene sichere die Abhörmöglichkeiten für Strafverfol- 
gungsbehörden und Nachrichtendienste? 

20. Wie passen nach Ansicht der Bundesregierung ihre Pläne 
einer Regelung der elektronischen Unterschrift zu den Plänen 
sowohl auf EU-Ebene als auch den unterschiedlichen Plänen 
zur Kryptographie auf der Ebene der OECD-Staaten, und 
sieht die Bundesregierung Probleme bei der Abstimmung? 

21. Wie reagiert die Bundesregierung auf den Standpunkt der 
US-Administration, bei Export und Nutzung von asymmetri- 
schen Kryptiersystemen auf solche Systeme hinzuwirken, die 
sicherstellen, daß Strafverfolgungsbehörden und Geheim- 
dienste sowohl eingehende als auch ausgehende elektro- 
nische Kommunikation in bestimmten Fällen entschlüsseln 
können? 

22. Welche Ministerien, Behörden und Ämter des Bundes sind 
zum gegenwärtigen Stand über das Internet erreichbar, 
in welcher Weise sind diese Systeme mit' den übrigen 
DV- Systemen der jeweiligen Einrichtungen verbunden, 
und wie werden dabei die Sicherheit und Integrität dieser 
Systeme gewährleistet? 
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23. Zwischen welchen Behörden findet ein Datenaustausch statt, 
und wie wird dieser gesichert? 

In welchem Umfang hat das BSI Sicherheitskonzepte dafür 
erarbeitet? 

24. Hat es bei einem derartigen Datenaustausch Sicherheitsana- 
lysen durch den Bundesrechnungshof gegeben, und zu wel- 
cher Bewertung ist dieser gekommen? 

25. Ist ein Ministerium, eine Behörde oder ein Amt im Verant- 
wortungsbereich des Bundes jemals Opfer eines „Hackers" 
geworden? 

Wenn ja, um welche Behörde handelte es sich, wurde ein 
Angreifer identifiziert, ein Verfahren eingeleitet, und zu wel- 
chem Ergebnis kam dies? 

Wurden überdies Daten manipuliert oder zerstört? 

26. Ist der Bundesregierung die amerikanische Software 
„PROMIS" (Prosecutor's Management System) bekannt, 
und ist sie in ihrem Verantwortungsbereich im Einsatz? 

Wenn ja, zu welchem Zweck und bei welcher Behörde? 

27. Hat die Bundesregierung für die Beschaffung von Soft- 
ware Richtlinien, in denen IT- Sicherheitsaspekte berück- 
sichtigt werden? 

28. Gibt es Bereiche, in denen nur sicherheitsgeprüfte Software 
zum Einsatz kommt? 

Wenn ja, welche? 

29. Ist der Bundesregierung in einer Einrichtung des Bundes 
jemals ein Softwareprodukt zur Kenntnis gelangt, das ein 
unerklärliches Sicherheitsloch - eine Sicherheits-trapdoor - 
auswies? 

Wenn ja, um welche Software handelte es sich? 

30. Lassen sich derartige Sicherheitslöcher nach Erkenntnissen 
des BSI ohne Kenntnis des Quellcodes systematisch auf- 
spüren? 

Wenn ja, mit welchem Aufwand? 

31. Trifft es nach Kenntnis der Bundesregierung zu, daß bundes- 
deutsche „Hacker", die in den 80er Jahren in bestimmte 
Rechnersysteme in den USA eindrangen, ein Sicherheitsloch 
in den VAXA/^MS-Betriebssystemen der Versionen 4.4 und 
4.5 benutzten? 

Bonn, den 2. Februar 1996 

Dr. Manuel Kiper 

Joseph Fischer (Frankfurt), Kerstin Müller (Köln) und Fraktion 
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